DNSSEC добавляет криптографическую проверку DNS. Это может защитить DNS-ответы от подмены, но если DS-записи у регистратора не совпадают с DNS-зоной, домен может перестать резолвиться у пользователей, чьи резолверы проверяют DNSSEC.

Когда DNSSEC полезен

  • У проекта повышенные требования к безопасности.
  • Вы аккуратно управляете DNS и понимаете ротацию ключей.
  • Ваш DNS-провайдер полностью поддерживает DNSSEC и выдает корректные DS-записи.

Когда нужно быть осторожным

СитуацияРиск
Смена DNS-провайдераСтарые DS-записи могут указывать на ключи, которых уже нет.
Смена NS-серверовDNSSEC нужно отключить или обновить до/во время смены.
Ручное копирование DNS-зоныЗаписи можно скопировать, но ключи DNSSEC нет.
Сайт работает не у всехВалидирующие резолверы могут отвергать сломанный DNSSEC.

Безопасное правило

Если вы осознанно не используете DNSSEC, не добавляйте DS-записи у регистратора. Если DS-записи уже есть и вы переносите DNS к другому провайдеру, обновите или удалите DS по инструкции нового провайдера.

Сломанный DNSSEC выглядит как загадочная DNS-проблема

Пришлите домен и информацию, включены ли DS-записи. Поможем проверить, не DNSSEC ли мешает пользователям открыть сайт.

Проверить DNSSEC/DS

Как проверить DNS без лишнего риска

DNS-настройки лучше менять поэтапно: сначала понять, где расположена активная DNS-зона, затем проверить текущие записи и только после этого вносить изменения. Если домен использует внешние NS-серверы, правки в панели хостинга могут не повлиять на работу сайта или почты.

  • проверьте активные NS-серверы домена;
  • сравните A, MX, TXT и CNAME-записи с ожидаемыми значениями;
  • учитывайте TTL и кэш провайдеров;
  • после изменения проверьте результат через несколько независимых сервисов.

Особенно аккуратно нужно работать с MX, SPF, DKIM и DMARC: ошибка в этих записях может не сломать сайт, но повлиять на доставку доменной почты.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «DNSSEC и DS-записи: когда нужны и почему могут сломать домен», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.